Serveur isolé ? Vous avez déjà l’Installation ID de Windows Server 2022 et cherchez un Confirmation ID sans exposer le serveur à Internet. Voici les options officielles (MAK, KMS, ADBA, VAMT), leurs limites et des procédures détaillées étape par étape.
Activer Windows Server 2022 sans connexion Internet directe : vue d’ensemble
Contexte typique : un administrateur gère un serveur Windows Server 2022 hors‑ligne (réseau isolé, DMZ non routée, site sensible…). La clé de produit est connue et l’Installation ID a déjà été généré. Objectif : obtenir un Confirmation ID pour finaliser l’activation, mais éviter l’appel au serveur vocal.
La question centrale est donc : existe‑t‑il une alternative via un poste personnel connecté à Internet, tout en gardant le serveur cible hors‑ligne ?
Réponse & solutions proposées
| Méthode | Principe | Connexion requise | Téléphone requis | Remarques |
|---|---|---|---|---|
| Activation en ligne (MAK) | slmgr /ato ou via l’interface | Serveur → Internet | Non | Impossible hors‑ligne. |
| Activation par téléphone (MAK) | slui 4 (ou slmgr /dti) → Installation ID ⇄ Confirmation ID | Aucune | Oui | Voie officielle quand le serveur ne voit pas Internet. |
| KMS / ADBA | Un KMS interne ou ADBA (dans AD) active via le LAN | LAN interne | Non | Nécessite une infra existante (KMS/AD). Plus d’appel si l’infra est déjà licenciée. |
| VAMT « proxy activation » | VAMT collecte l’Installation ID, exporte puis soumet via un poste connecté | Poste VAMT → Internet (au moins une fois) | Non | Le poste VAMT doit contacter Microsoft en ligne ; la machine cible peut rester hors‑ligne. |
Conclusion claire :
- Sans accès Internet direct, le téléphone (ou le support Microsoft) reste la voie officielle pour convertir un Installation ID en Confirmation ID.
- Les alternatives sans appel sont KMS, ADBA ou VAMT, qui exigent toujours qu’au moins une machine (KMS ou poste VAMT) puisse dialoguer avec les serveurs d’activation Microsoft à un moment donné.
- Si vous ne disposez d’aucune de ces briques, l’appel téléphonique est le plus simple et le plus rapide.
Pourquoi faut‑il un échange Installation ID ⇄ Confirmation ID ?
Windows utilise le service Software Protection Platform (SPP). Lors d’une activation hors‑ligne (MAK par téléphone), le système génère un Installation ID (empreinte logicielle + clé + édition). Microsoft retourne un Confirmation ID qui valide cette combinaison. Le Confirmation ID reste valable tant que la configuration matérielle et l’édition ne changent pas de façon majeure.
Procédure détaillée : activation par téléphone (MAK)
Si vous optez pour la voie la plus directe pour un serveur totalement isolé :
- Installer la clé (si ce n’est pas déjà fait) :
slmgr /ipk XXXXX-XXXXX-XXXXX-XXXXX-XXXXX - Obtenir l’Installation ID (54 chiffres) :
- Interface : Paramètres ▸ Mise à jour et sécurité ▸ Activation ▸ Activer par téléphone (
slui 4). - Serveur Core / sans GUI :
cscript %SystemRoot%\System32\slmgr.vbs /dtiCopiez soigneusement l’ID (ou redirigez vers un fichier si nécessaire).
- Interface : Paramètres ▸ Mise à jour et sécurité ▸ Activation ▸ Activer par téléphone (
- Choisir le pays/la région depuis l’assistant afin d’obtenir les numéros gratuits.
- Appeler le serveur vocal, dicter l’Installation ID, puis noter le Confirmation ID (7 blocs).
- Valider le Confirmation ID :
- Via l’assistant graphique d’activation, ou
- En ligne de commande :
cscript %SystemRoot%\System32\slmgr.vbs /atp <ConfirmationID>
- Vérifier l’état :
slmgr /dlvRecherchez la ligne indiquant État de la licence : sous licence.
Bonnes pratiques :
- Conservez une copie du Confirmation ID (inventaire, coffre de mots de passe). Il pourra resservir après une réinstallation identique.
- Ne diffusez jamais votre clé MAK. Limitez les droits d’affichage dans vos outils d’inventaire.
Cas particulier : conversion d’une évaluation
Si vous êtes parti d’une ISO d’évaluation (Evaluation), convertissez d’abord l’édition :
DISM /online /Set-Edition:ServerDatacenter /ProductKey:XXXXX-XXXXX-XXXXX-XXXXX-XXXXX /AcceptEulaAprès redémarrage, reprenez la procédure d’activation.
Alternative sans appel : VAMT en « proxy activation »
VAMT (Volume Activation Management Tool) permet d’activer par procuration vos machines en utilisant un poste relais. Deux scénarios sont possibles :
Scénario A : poste VAMT dans le réseau isolé
- Installer VAMT (via le kit ADK) sur un poste du réseau isolé. VAMT utilisera une base locale (SQL Express).
- Découvrir le serveur cible : dans VAMT, Ajouter des ordinateurs (WMI/WinRM). Assurez‑vous d’avoir les droits administrateur et l’ouverture des ports nécessaires en interne.
- Mettre à jour l’état de licence depuis VAMT (clic droit ▸ Actualiser l’état) pour récupérer l’Installation ID du serveur.
- Exporter les données de proxy‑activation (Fichier .cilx) sur une clé USB.
- Sur un poste connecté à Internet (chez vous par exemple), ouvrir VAMT, importer le fichier .cilx et acquérir les Confirmation ID auprès des services Microsoft (l’ordinateur connecté agit comme relais).
- Ré‑exporter le fichier .cilx désormais enrichi des Confirmation ID.
- De retour dans le réseau isolé, importer le .cilx dans le VAMT hors‑ligne et appliquer les Confirmation ID aux machines (clic droit ▸ Activer ▸ Par procuration).
Scénario B : poste VAMT directement connecté au serveur cible
Si le serveur isolé est joignable en interne mais que seul le poste VAMT a Internet :
- Installez VAMT sur ce poste connecté.
- Ajoutez les serveurs (WMI/WinRM), mettez à jour l’état, puis lancez l’activation par procuration directement (le poste VAMT contactera les serveurs Microsoft en ligne et déposera les CIDs sur les serveurs internes).
Avantages : pas d’appel téléphonique, historisation des activations, gestion de lots. Contraintes : nécessite VAMT et une machine qui a Internet (au moins ponctuellement). Le serveur cible, lui, peut rester 100 % hors‑ligne.
Alternative d’infrastructure : KMS et ADBA
KMS (Key Management Service)
Un hôte KMS interne active automatiquement les machines clientes via le LAN (port 1688/TCP). Conditions clés :
- Un hôte KMS doit être activé (avec une clé CSVLK) auprès de Microsoft — une fois — via Internet ou par téléphone.
- Seuil d’activation (compteurs d’activation) : typiquement 25 hôtes Windows client et 5 hôtes Windows Server sur le réseau pour déclencher l’activation KMS côté clients.
- Un enregistrement
_vlmcs._tcp(SRV) en DNS facilite la découverte du KMS. À défaut, forcez le KMS sur les clients :slmgr /skms kms-hote.exemple.local:1688 slmgr /ato - Les serveurs clients doivent utiliser la clé KMS générique (GVLK) correspondant à leur édition (souvent déjà présente par défaut).
ADBA (Activation basée sur Active Directory)
ADBA enregistre un objet d’activation dans l’Active Directory. Toute machine joint au domaine et compatible s’active automatiquement grâce à AD, sans contact direct avec Internet.
Pré‑requis : schéma/forêt au niveau requis (Windows Server 2012 ou ultérieur), droits pour installer les Volume Activation Tools et publier l’objet ADBA.
KMS vs ADBA : quand choisir quoi ?
| Critère | KMS | ADBA |
|---|---|---|
| Machines hors domaine | ✔️ (découverte DNS) | ❌ (doivent être jointes au domaine) |
| Infrastructure AD minimale | Non nécessaire | Requise |
| Seuils d’activation | Oui (25/5) | Non |
| Complexité de mise en œuvre | Moyenne | Moyenne (côté AD) |
Procédures complémentaires utiles
Vérifier l’état de licence et la clé installée
slmgr /dli
slmgr /dlvChanger de clé ou revenir à une clé KMS générique (GVLK)
slmgr /ipk XXXXX-XXXXX-XXXXX-XXXXX-XXXXX <-- Remplacez par votre clé (MAK ou GVLK)
slmgr /atoForcer un hôte KMS spécifique
slmgr /skms kms-hote.exemple.local:1688
slmgr /atoTester la résolution DNS et la connectivité KMS
nslookup -type=SRV _vlmcs._tcp.exemple.local
Test-NetConnection -ComputerName kms-hote.exemple.local -Port 1688Réinitialiser l’état d’activation (cas limité)
À utiliser avec parcimonie, notamment après une conversion d’édition ou une image de référence :
slmgr /rearm
redémarrage requisDépannage : erreurs fréquentes et correctifs
| Code/Message | Cause probable | Correctif recommandé |
|---|---|---|
| 0xC004C020 | Quota d’activation MAK atteint | Contacter le centre de licences en volume pour un réajustement. En attendant, KMS/ADBA peuvent éviter l’épuisement des activations. |
| 0xC004C008 | Clé trop utilisée / suspicion de réutilisation | Vérifier le parc et l’inventaire des clés. Contacter le support volume si usage légitime. |
| 0xC004F074 | Client KMS ne trouve pas l’hôte KMS | Créer l’enregistrement DNS _vlmcs._tcp, ou configurer slmgr /skms vers l’hôte KMS, vérifier le port 1688. |
| 0x8007232B | Nom DNS introuvable (clé KMS générique sans KMS actif) | Installer une clé MAK valide (slmgr /ipk) ou déployer un KMS/ADBA. |
| 0x8007007B | Nom KMS invalide ou paramètre incorrect | Reconfigurer slmgr /skms avec nom:port corrects. Purger avec slmgr /ckms si besoin, puis /ato. |
| 0xC004F210 | Clé ne correspond pas à l’édition | Vérifier l’édition installée (Standard vs Datacenter). Convertir l’édition via DISM /Set-Edition si nécessaire. |
| 0xC004E016 | Clé invalide | Confirmer la clé, tester en cscript slmgr.vbs /ipk depuis une session élevée, vérifier l’édition. |
| 0xC004F025 | Accès refusé | Exécuter le shell en tant qu’administrateur. Vérifier UAC et stratégies. |
FAQ pragmatique
Puis‑je générer un Confirmation ID depuis mon PC personnel connecté ?
Oui, mais pas « à la main ». Vous ne pouvez pas calculer un Confirmation ID localement. Vous pouvez toutefois utiliser VAMT pour soumettre l’Installation ID d’une machine hors‑ligne, obtenir les Confirmation ID en ligne, puis les réimporter dans le réseau isolé. Le serveur cible ne parlera jamais à Internet.
« slui 4 » n’ouvre rien sur Server Core
Sur Server Core, utilisez :
cscript %SystemRoot%\System32\slmgr.vbs /dti
cscript %SystemRoot%\System32\slmgr.vbs /atp <ConfirmationID>Le Confirmation ID est‑il réutilisable ?
Oui, tant que l’empreinte matérielle et l’édition ne changent pas substantiellement. Ne le partagez pas hors de votre équipe et stockez‑le de manière sécurisée.
Mon entreprise a peu de serveurs : KMS est‑il pertinent ?
Avec moins de 5 hôtes serveur, le seuil KMS peut être bloquant. Dans ce cas, ADBA (si vous avez AD) ou MAK (avec VAMT pour éviter le téléphone) sont souvent plus simples.
Checklist avant de se lancer
- Édition correcte : Standard vs Datacenter, Desktop Experience vs Core.
- Clé correspondante : MAK adaptée à l’édition, ou GVLK pour KMS.
- Horloge synchronisée : un décalage important entraîne des erreurs d’activation.
- Droits admin sur la machine et, pour VAMT, accès WMI/WinRM (ou plan d’échange de fichiers .cilx).
- Documentation interne : conservez clé, Installation ID, Confirmation ID, captures
/dlv.
Exemples concrets
Activer un serveur totalement hors‑ligne en 10 minutes
- Installer la clé MAK :
slmgr /ipk XXXXX-XXXXX-XXXXX-XXXXX-XXXXX. - Obtenir l’Installation ID :
cscript slmgr.vbs /dti. - Appeler le numéro gratuit affiché par
slui 4depuis n’importe quel téléphone. - Entrer le Confirmation ID reçu :
cscript slmgr.vbs /atp <CID>. - Vérifier :
slmgr /dlv.
Éviter définitivement le téléphone grâce à VAMT
- Installer VAMT sur un poste connecté à Internet.
- Ajouter le serveur (si joignable via LAN), Actualiser l’état, puis Activer ▸ Par procuration.
- Si le serveur n’est joignable que sur un réseau isolé, déployer VAMT dans ce réseau, exporter .cilx, traiter les CIDs depuis un poste Internet, puis ré‑importer et Appliquer.
Rappels essentiels & sécurité
- Ne copiez pas arbitrairement des fichiers comme
tokens.datentre machines : c’est non supporté et source d’instabilités. - Documentez chaque activation (ticket, change request). En cas d’audit, votre traçabilité sera précieuse.
- Segmentez les responsabilités : l’équipe « poste connecté » exécute VAMT, l’équipe « serveurs isolés » applique les CIDs.
En résumé
Pour obtenir un Confirmation ID sans connecter votre Windows Server 2022 à Internet, trois voies existent : l’appel téléphonique (officiel, immédiat), VAMT (proxy d’activation, sans appel mais avec un poste Internet), ou KMS/ADBA (si l’infrastructure le permet). Le choix dépend de votre contexte : nombre de serveurs, présence d’AD, contraintes d’isolement, et gouvernance des clés.
Annexes utiles
Commandes slmgr courantes
| Commande | Effet |
|---|---|
slmgr /ipk <Clé> | Installe une clé MAK/GVLK |
slmgr /upk | Supprime la clé (désinstalle) |
slmgr /cpky | Efface la clé du registre |
slmgr /dli | Affiche un résumé d’activation |
slmgr /dlv | Affiche des détails étendus |
slmgr /dti | Affiche l’Installation ID |
slmgr /atp <CID> | Active avec le Confirmation ID (téléphone/Proxy) |
slmgr /ato | Active en ligne (Internet ou KMS/ADBA selon configuration) |
slmgr /skms <kms:port> | Force l’hôte KMS |
slmgr /ckms | Supprime l’hôte KMS configuré |
slmgr /rearm | Réinitialise l’état de licence |
Journaux et diagnostics
- Observateur d’événements ▸ Applications et services ▸ Microsoft ▸ Windows ▸ Software Protection Platform/Service (SPP) : erreurs d’activation détaillées.
- Connectivité (KMS) : port 1688/TCP, latence et MTU, règles de pare‑feu internes.
- Heure : synchronisation NTP entre clients et KMS/contrôleurs de domaine.
En un coup d’œil
- Vous voulez aller vite → Appel téléphonique avec
slui 4etslmgr /atp. - Vous refusez tout appel → VAMT (proxy d’activation) avec fichier .cilx transféré via un poste Internet.
- Vous avez une infra → KMS ou ADBA pour automatiser et éliminer durablement l’étape téléphonique.